La CNIL épingle Admission Post-Bac pour de multiples violations à la loi de 1978

La CNIL épingle Admission Post-Bac pour de multiples violations à la loi de 1978

Redoublement conseillé

Avatar de l'auteur

Marc Rees

Publié dansDroit

28/09/2017
28
La CNIL épingle Admission Post-Bac pour de multiples violations à la loi de 1978

Décision rare. La CNIL a  mis en demeure le ministère de l’Enseignement supérieur, de la Recherche et de l’Innovation pour le traitement APB ou Admission Post-Bac. Le gendarme des données personnelles y dévoile plusieurs défaillances – très lourdes – dans ce système de préinscription.

APB, créé en 2011, va devoir être sévèrement réformé après cette mise en demeure adressée par la Commission nationale informatique et des libertés. Saisie d’une plainte en novembre 2016, celle-ci s’est penchée sur les rouages de ce traitement, sous l’angle des dispositions de la loi de 1978.

Après notamment une mission de contrôle sur place à l’Institut national polytechnique de Toulouse, chargé de la maitrise d’œuvre d’APB, elle est revenue avec une brouette de critiques à l’encontre de ce traitement algorithmique, censé être un fleuron français.

Des algorithmes, pas d'intervention humaine (article 10)

L’article 10 de la loi de 1978 prévoit qu’ « aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».

Un examen humain doit donc toujours être organisé afin d’éviter une « algorithmocratie » ou dictature des machines. Or, la CNIL relève qu’avec APB, « les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle ».

Et puisqu'on est bien ici en présence d’une décision produisant des effets juridiques où APB « détermine les formations post-baccalauréat auxquelles [les futurs étudiants] peuvent s’inscrire », la disposition est violée.

Manque d'information (article 32)

L’article 32-I de la même loi impose une obligation d’information des personnes auprès desquelles sont recueillies des données personnelles. Elles doivent par exemple connaître l’identité du responsable du traitement, le destinataire des données, etc.

Avec APB, note la mise en demeure de la CNIL, « les candidats sont amenés à fournir un nombre important de données à caractère personnel telles que leurs nom, prénom, date de naissance, pays de naissance, nationalité, situation de famille (marié, pacsé, nombre de personnes à charge), adresse, numéro de téléphone, noms et catégorie socio-professionnelle des responsables légaux, revenu brut global, nombre de frères et sœurs à charge de la famille, ou encore le nombre de frères et sœurs scolarisés dans l’enseignement supérieur ».

Souci : sur le formulaire de saisie, on ne connaît ni l’identité du responsable du traitement, ni la finalité poursuivie, ni les droits reconnus par la loi (accès, rectification, etc.) ni les destinataires (les établissements d’enseignement).

Pas de détails sur les rouages des algorithmes (article 39)

L’article 39 I. 5) du texte indique que toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement en vue d’obtenir notamment « les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

Lorsque des candidats veulent connaître les raisons d’un refus d’affectation dans tel établissement, le ministère se contente de leur dire que les capacités d’accueil sont insuffisantes, outre de les informer des critères utilisés pour la sélection selon le Code de l’éducation.

Cependant, critique la CNIL, « aucune information relative à l’utilisation d’un algorithme et au fonctionnement de celui-ci pour procéder au classement et à l’affectation des personnes au sein des établissements de l’enseignement supérieur (notamment la méthode ayant permis de développer l’algorithme, les contraintes ou les besoins définis par l’administration, le taux d’erreur de l’algorithme ou encore le score obtenu par le candidat, les seuils de scoring et leur signification) n’est fournie aux candidats ».

Un beau témoignage d'opacité qui nous replonge dans la demande CADA visant le code source d'APB. Ces éléments avaient été produits par le ministère au format papier...

Pas de clause de sécurité chez le sous-traitant (article 35)

Si le ministère de l’Éducation nationale a confié les clefs du portail APB à l’Institut national polytechnique de Toulouse, le contrat signé « ne prévoit pas de clauses relatives aux obligations du sous-traitant en matière de sécurité et de confidentialité des données à caractère personnel, précisant notamment que le sous-traitant ne peut agir que sur instruction du responsable de traitement ».

L’article 35 prévient notamment qu’un sous-traitant « doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité ». Le même oblige le contrat liant le sous-traitant au responsable du traitement à indiquer « les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données » tout en précisant « que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».

Et maintenant ?

Cette mise en demeure a été notifiée fin août au ministère qui a trois mois pour corriger le tir. Spécialement, il devra « cesser de prendre des décisions produisant des effets juridiques à l’égard des personnes sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé » et « en particulier, prévoir une intervention humaine permettant de tenir compte des observations des personnes ».

Hier, on apprenait via l’AFP que 3 729 bacheliers étaient sans affectation, alors que les candidats avaient jusqu’au 25 septembre pour postuler dans un établissement par APB.  

Le 3 septembre dernier, la ministre de l’Enseignement supérieur Frédérique Vidal vantait les charmes d’APB au Journal du Dimanche : « Avant, c'était la règle du "premier arrivé, premier servi". Il n'est pas question d'en revenir là ! Une gestion informatisée est nécessaire ». Elle promettait néanmoins une refonte d’un « système à bout de souffle » qui aurait du mal à encaisser le surplus de 40 000 étudiants cette année.

De fait, ce système est peut-être à bout de souffle, mais il a surtout été sèchement épinglé par la CNIL quatre jours avant cette interview. On notera aussi que la diffusion de la mise en demeure a été faite le 28 septembre, alors que le terme d'APB était fixé trois jours plus tôt. Il n'est pas certain que les étudiants tombés dans l'estomac de cet algorithme sans intervention humaine apprécient un tel calendrier.   

28
Avatar de l'auteur

Écrit par Marc Rees

Tiens, en parlant de ça :

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 26
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 16

Sommaire de l'article

Introduction

Des algorithmes, pas d'intervention humaine (article 10)

Manque d'information (article 32)

Pas de détails sur les rouages des algorithmes (article 39)

Pas de clause de sécurité chez le sous-traitant (article 35)

Et maintenant ?

#Flock a sa propre vision de l’inclusion

Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

26
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 16
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 16
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 4

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 15

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 13
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 34
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 52
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 10

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 38
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 151

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (28)


FrancoisA Abonné
Il y a 6 ans

  Ça sent la V2.


fred42 Abonné
Il y a 6 ans

Ça va être lourd d’introduire une intervention humaine pour tous ceux qui n’ont pas une des affectations demandées…

Mais quoi de plus normal que de prendre en compte les personnes ?

En tout cas, ça fait partie des fessées les plus magistrales infligées par la CNIL !

Et cela doit pouvoir ouvrir une voie de recours administratif à chaque décision qui ne conviendrait pas à l’intéressé.


vince120 Abonné
Il y a 6 ans

La décision de la CNIL permet elle une voie de recours pour les candidats éconduits ?


cyrano2 Abonné
Il y a 6 ans

Le vrai scandale est surtout qu’il n’y a pas assez de place à l’université.

Ensuite, concernant APB, au lieu de lui demander une réponse simple, il faut qu’il sorte le “raisonnement” qui a conduit à la décision (détail du scoring, rang de scoring, classement, etc…), et que celui-ci soit contestable en appel.


PtiDidi Abonné
Il y a 6 ans

Créé en 2011, à bout de souffle en 2017? Le cahier des charges était pourri de base?
Qui avait pondu ce système et à quel prix?


ike
Il y a 6 ans

Sur les quatre point remonté par la CNIL, deux sont juste de la forme (article 35 et 32). Un manquement sur une page et un manquement dans un contrat sur la confidentialité des informations (à vérifier si d’ailleurs la demande de confidentialité n’était pas implicite dans l’ensemble des documents du sous traitant).

Le deux autre point (article 10 et 39) sont surement les plus intéressant et les plus polémique. Car cela englobe une très large partie des services aujourd’hui utilisé.

Je suis d’ailleurs curieux de voir pourquoi la CNIL ne cible pas tout les système de notations qui existe par ailleurs avec l’article 39. L’algo des notations étant rarement décrit.


laurader
Il y a 6 ans






cyrano2 a écrit :

Le vrai scandale est surtout qu’il n’y a pas assez de place à l’université.

Ensuite, concernant APB, au lieu de lui demander une réponse simple, il faut qu’il sorte le “raisonnement” qui a conduit à la décision (détail du scoring, rang de scoring, classement, etc…), et que celui-ci soit contestable en appel.

le vrai scandale reste la sanctification de l’université depuis des lustres alors que ça ne donne pas un CV, comme le voudraient certains, ni des connaissances, comme le voudraient d’autres et encore moins une autonomie.



Jarodd Abonné
Il y a 6 ans

Et dire qu’il aurait suffi que le soft soit géré par Microsoft, dans le cadre de son accord avec l’EducNat, pour éviter ces erreurs sur la gestion des données personnelles… <img data-src=" />


ArchangeBlandin Abonné
Il y a 6 ans

Ca dépend du domaine, de l’université du niveau d’études que tu vises.
Donc, oui, il y a plein de choses dans l’université qui n’amènent à presque aucune compétence valorisée par les entreprises. On devrait fortement filtrer les admissions dans ces branches là, elles ne sont pas totalement inutiles, mais les emplois étant peu nombreux, il ne faut pas laisser trop de monde y aller.
Il y en a d’autres qui sont irremplaçables.
Si l’on pousse un peu plus loin, pour ceux qui font une thèse, il y a des sujets de thèse qui valent de l’or pour les entreprises (ou labos de recherche) et d’autres qui ne valent pas un clou.

La fac donne une autonomie au moins sur un sujet : se jeter dans une voie sans issue ou dans un domaine avec des débouchés.


levhieu
Il y a 6 ans

Moi le créé en 2011 m’étonne.
Peut-être qu’il manque juste un «dans sa forme actuelle», j’aimerais bien en savoir plus sur l’historique du programme


loser Abonné
Il y a 6 ans






cyrano2 a écrit :

Le vrai scandale est surtout qu’il n’y a pas assez de place à l’université.&nbsp;
&nbsp;


le vrai scandale c’est pas plutôt qu’il y ait trop de reçus au bac?



WereWindle
Il y a 6 ans

De mon temps, on avait R.A.V.E.L avec des pages minitel pourries et une ergonomie au schnapps mais ça faisait le job <img data-src=" />


Winderly Abonné
Il y a 6 ans

Voila de quoi dégrader davantage la réputation de ce système.
Je décrie souvent la CNIL, mais cette fois bravo.
Dommage que je ne connaisse personne qui puisse être intéressé par cet excellent article.


2show7
Il y a 6 ans

La loterie scolaire, un nouveau concept <img data-src=" /><img data-src=" />


Winderly Abonné
Il y a 6 ans






loser a écrit :

le vrai scandale c’est pas plutôt qu’il y ait trop de reçus au bac?


Mais si le niveau global baissait (même très peu), ça rendrait ce phénomène plus visible.



Dj Abonné
Il y a 6 ans






cyrano2 a écrit :

Le vrai scandale est surtout qu’il n’y a pas assez de place à l’université.



C’est clair, ils ont accès aux chiffres de la natalité et encore plus a ceux des enfants qui rentrent dans les classes de maternelle et autre… &nbsp; ils pouvaient donc largement prévoir&nbsp;

Il n’y eut quasi aucune adaptation a l’augmentation des élèves qui allaient arriver



Krogoth
Il y a 6 ans

Je vois arriver des solutions “à la con” du genre. On laisse quelques places de marge dans chaque établissement (pondéré en fonction des demandes habituelles) et tout les chieurs un peu litigieux qui demandent une étude spécifique de leur cas on les laisse entrer…


jackjack2
Il y a 6 ans






Winderly a écrit :

Mais si le niveau global baissait (même très peu), ça rendrait ce phénomène plus visible.


<img data-src=" />



XtofChezLesTeutons
Il y a 6 ans






WereWindle a écrit :

De mon temps, on avait R.A.V.E.L avec des pages minitel pourries et une ergonomie au schnapps mais ça faisait le job <img data-src=" />


<img data-src=" />



Winderly Abonné
Il y a 6 ans

Je pensais être discret.


alex.d. Abonné
Il y a 6 ans






loser a écrit :

le vrai scandale c’est pas plutôt qu’il y ait trop de reçus au bac?


Le bac est le premier grade universitaire, diplôme délivré par l’université, et donnant droit à la poursuite d’étude à l’université. C’est en quelque sorte l’examen d’entrée à l’université. Le vrai problème est que l’université n’a pas le contrôle dessus ! Pour des raisons démagogiques, on a baissé le niveau du bac pour augmenter artificiellement le taux de réussite, et on se retrouve avec des cargaisons d’étudiants à l’université qui n’ont pas le niveau. D’où les 70% d’échec en licence.
Si on rendait le contrôle du bac aux universités, il pourrait refléter le vrai niveau attendu pour un étudiant à l’université, on baisserait le taux d’échec en licence, on réglerait le problème de surpopulation dans les facs, et on pourrait mieux orienter les étudiants qui n’ont pas vocation à aller à l’université plutôt que de les laisser perdre 4 ans à rater leur licence.
&nbsp;



renaud07
Il y a 6 ans






PtiDidi a écrit :

Créé en 2011, à bout de souffle en 2017? Le cahier des charges était pourri de base?
Qui avait pondu ce système et à quel prix?



Je me demande si Marc ne s’est pas trompé, sur wikipédia, il est indiqué lancement en 2008 dans quelques académies et généralisation en 2009.



Silences
Il y a 6 ans






renaud07 a écrit :

Je me demande si Marc ne s’est pas trompé, sur wikipédia, il est indiqué lancement en 2008 dans quelques académies et généralisation en 2009.



J’ai eu mon bac en 2008 et on était déjà sur APB dans mes souvenirs en effet!



ProFesseur Onizuka
Il y a 6 ans


…catégorie socio-professionnelle des responsables légaux, revenu brut global…


Faudrait pas qu’un fils d’ouvrier se retrouve dans une formation réservée aux fils de notaire <img data-src=" />


loser Abonné
Il y a 6 ans

oui et ça fait 40 ans qu’on dévalorise les filières techniques par rapport à la filière générale… il y a pas mal de métiers où on manque d’apprentis…


Plastivore Abonné
Il y a 6 ans

Je plussoie ! Je me souviens de m’être mangé des “quel gâchis” quand j’ai voulu aller de mon plein gré en seconde TSA (maintenant ISI) dans une lycée techno, simplement parce que c’est ce que je voulais faire. En seconde, c’était un mélange de gens comme moi, avec d’autres élèves qui étaient dans une situation parfaitement bien résumée par ma prof d’anglais de l’époque :
“Ah, tu fais partie de ceux qui ont été envoyés ici parce que tu es trop con pour la filière générale mais pas assez pour finir en BEP, alors qu’en fait vous avez plus de boulot qu’en générale”

D’ailleurs, et je ne sais pas si ça a toujours cours, mais les élèves de seconde générale qui voulaient faire la filière STI avaient un petit stage d’une semaine ou 2 pour les mettre à niveau…

Mais rendre le contrôle aux universités ne règlera pas ce problème. Mon expérience en IUT était même encore pire qu’au collège ou au lycée de ce point de vue, à savoir qu’en GTR (maintenant appelée R&T) il y avait une nette préférence pour les élèves avec un bac S (généralement option SVT) par rapport aux STI électronique. Résultat des courses : sur 80 élèves à la rentrée en première année, il n’en restait plus qu’une grosse quarantaine après les vacances de Noël, et une trentaine à la fin de la seconde année (dont 1 seul survivant de S-SVT). Bon, les S-SVT assuraient en maths, mais les STI-EL leur mettaient la pâtée en électronique et en physique.


sanscrit
Il y a 6 ans

de mon temps il fallait envoyé par la poste le dossier scolaire, au établissement voulu. puis nous recevions le resultat par la poste genre liste d’attente position 40 a 75 pour moi&nbsp;<img data-src=" />

étonnamment une fois tous stabilisé fin juin j’etais pris partout <img data-src=" />.&nbsp; ca m’avais surpris.


@loser : c’est pas plus mal, nous souffrons pas trop des crises et c’est plus facile de trouver du boulot.<img data-src=" />


Guinnness
Il y a 6 ans






loser a écrit :

oui et ça fait 40 ans qu’on dévalorise les filières techniques par rapport à la filière générale… il y a pas mal de métiers où on manque d’apprentis…


Ca fait des années(voir décennies) que nos “”“élites technocratiques”“” ne voient que par la société de services au détriment des industries, mettant en avant la finance et le commerce par rapport à l’industrie ce qui a fait de la France une sorte de grand magasin plein de vendeurs/financiers mais avec rien à vendre faute d’ouvriers et d’usines pour fabriquer de quoi le remplir.

Le problème c’est que c’est les secteurs primaires et secondaires qui créent les vraies richesses d’un pays pas (ou très peu) le tertiaire qui lui ne fait que faire circuler l’argent de poches en poches, d’où la merde dans laquelle on se trouve




sscrit a écrit :

@loser : c’est pas plus mal, nous souffrons pas trop des crises et c’est plus facile de trouver du boulot.<img data-src=" />


Clair, la dernière fois que je me suis retrouvé au chômage suite à la faillite de la boite j’ai pas mis 6 mois à retrouver du boulot, en fait c’est même le boulot qui m’a retrouvé plus que l’inverse puisque je ne cherchais pas plus que ça (faut dire que quand on touche plus au chômage qu’en se levant le matin pour aller bosser c’est pas super motivant pour se bouger le cul).